研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows：概念上类似的攻击也存在于OS X系统。

根据安全公司的最新研究，DLL劫持在Mac上也同样适用，可以用来绕过苹果GateKeeper等安全功能，使其感染电脑中易受攻击的地方。Wardle将在本周在温哥华举行的CanSecWest应用安全大会上分享这个问题。

“OS X dylib（dynamic library动态库）劫持在概念上类似于Windows的DDL劫持”，研究人员Wardle解释说，“在这两种情况下都存在这个情况，操作系统装载器在很多地方寻找所需的依赖库。如果在原位置没有找到正确的依赖库，比如，找到的是第一个目录进行装载，攻击者可以将恶意库种在这里。从此，每次启动这个程序时，无论是操作系统还是用户，装载器将发现并盲目下载攻击者的恶意库，因为装载器第一次首先找到的是攻击者种植恶意库的位置。”

攻击者依赖于利用易受攻击的app，Wardle计划推出一个开源的python脚本和带有用户界面的应用程序用来扫描这些恶意库。他说，这个程序可以扫描电脑中的150个脆弱的应用程序，包括苹果商店中的应用程序和第三方提供的app。攻击者绕过GateKeeper（GateKeeper有反恶意软件功能，允许用户限制应用程序的安装，这些应用程序必须来自木马感染性低的源。），OS X Lion 10.75，OS X Moutain Lion及以后的操作系统都包含这个功能。

“我将在会议上透露一些攻击细节”Wardle说，“但是，我现在可以先总结一下。GateKeeper不验证下载的信息，直接下载dmg安装包。这种情况为攻击者创造了一种DLL场景，攻击者可以自行创建GateKeeper信任的软件包或者感染合法下载的软件，当用户打开这些软件时，执行恶意代码。所以即使用户设置了GateKeeper只允许执行来自苹果商店的程序，电脑还是会下载攻击者的恶意代码并且允许这些程序执行，导致用户被感染。”

“这种攻击可以被用于以下情况：持久性，长时间载入过程的注入等”，Wardle解释说，“实现类似目标的其他的攻击方式非常复杂，并且容易检测并防止。使用这种dylib劫持攻击，攻击者可以通过简单的空投捆绑式dylib实现相同的目标。这就是dylib劫持攻击，它可以结合各种工具，使攻击过程既简单又对用户的计算机进行毁灭性攻击。”